Évaluation de l'état de conformité et de l'état du contrôle dans Security Hub - AWS Security Hub
Évaluation de l'état de conformité des résultats du Security HubDérivation du statut de contrôle à partir de l'état de conformité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluation de l'état de conformité et de l'état du contrôle dans Security Hub

Le Compliance.Status domaine du AWS Le format de recherche de sécurité décrit le résultat d'un résultat de contrôle. Security Hub utilise l'état de conformité des résultats des contrôles pour déterminer un état de contrôle global. L'état du contrôle est affiché sur la page de détails d'un contrôle sur la console Security Hub.

Évaluation de l'état de conformité des résultats du Security Hub

L'état de conformité de chaque constatation se voit attribuer l'une des valeurs suivantes :

  • PASSED— Indique que le contrôle a passé avec succès le contrôle de sécurité pour cette constatation. Règle automatiquement le Security Hub Workflow.Status surRESOLVED.

    Si Compliance.Status un résultat passe de PASSED àFAILED, ou WARNINGNOT_AVAILABLE, et Workflow.Status était l'un NOTIFIED ou l'autreRESOLVED, Security Hub passe automatiquement Workflow.Status àNEW.

    Si vous ne disposez pas de ressources correspondant à un contrôle, Security Hub produit une PASSED recherche au niveau du compte. Si vous avez une ressource correspondant à un contrôle mais que vous la supprimez ensuite, Security Hub crée une NOT_AVAILABLE recherche et l'archive immédiatement. Au bout de 18 heures, vous recevez un PASSED résultat puisque vous ne disposez plus des ressources correspondant au contrôle.

  • FAILED— Indique que le contrôle n'a pas réussi le contrôle de sécurité pour cette constatation.

  • WARNING— Indique que la vérification est terminée, mais Security Hub ne peut pas déterminer si la ressource est dans un FAILED état PASSED ou.

  • NOT_AVAILABLE— Indique que la vérification ne peut pas être effectuée en raison d'une défaillance d'un serveur, de la suppression de la ressource ou du résultat du AWS Config l'évaluation étaitNOT_APPLICABLE.

    Si l'icône AWS Config le résultat de l'évaluation était NOT_APPLICABLE que Security Hub archive automatiquement le résultat.

Dérivation du statut de contrôle à partir de l'état de conformité

Security Hub obtient un statut de contrôle global à partir de l'état de conformité des résultats des contrôles. Lors de la détermination de l'état du contrôle, Security Hub ignore les résultats contenant un RecordState de ARCHIVED et ceux contenant un Workflow.Status deSUPPRESSED.

L'une des valeurs suivantes est attribuée à l'état du contrôle :

  • Réussi — Indique que le statut de conformité de tous les résultats est dePASSED.

  • Echec — Indique qu'au moins un résultat a un statut de conformité deFAILED.

  • Inconnu — Indique qu'au moins un résultat a un statut de conformité de WARNING ouNOT_AVAILABLE. Aucun résultat n'a un statut de conformité deFAILED.

  • Aucune donnée — Indique qu'aucun résultat n'a été trouvé pour le contrôle. Par exemple, un contrôle nouvellement activé possède ce statut jusqu'à ce que Security Hub commence à générer des résultats le concernant. Un contrôle possède également ce statut si tous les résultats le sont SUPPRESSED ou s'il n'est pas disponible dans la région actuelle.

  • Désactivé — Indique que le contrôle est désactivé dans le compte courant et dans la région. Aucun contrôle de sécurité n'est actuellement effectué pour ce contrôle dans le compte courant et dans la région. Cependant, les résultats d'une commande désactivée peuvent avoir une valeur pour l'état de conformité jusqu'à 24 heures après la désactivation.

Pour un compte administrateur, l'état du contrôle reflète l'état du contrôle dans le compte administrateur et dans les comptes des membres. Plus précisément, le statut général d'un contrôle apparaît comme Échec si le contrôle présente un ou plusieurs échecs trouvés dans le compte administrateur ou dans l'un des comptes membres. Si vous avez défini une région d'agrégation, le statut de contrôle dans la région d'agrégation reflète le statut de contrôle dans la région d'agrégation et les régions associées. Plus précisément, le statut général d'un contrôle apparaît comme Échec si le contrôle présente un ou plusieurs résultats d'échec dans la région d'agrégation ou dans l'une des régions liées.

Security Hub génère généralement l'état de contrôle initial dans les 30 minutes suivant votre première visite sur la page Résumé ou sur la page des normes de sécurité de la console Security Hub. Tu dois avoir AWS Config enregistrement des ressources configuré pour que l'état du contrôle apparaisse. Une fois les statuts de contrôle générés pour la première fois, Security Hub les met à jour toutes les 24 heures en fonction des résultats des 24 heures précédentes. Un horodatage sur la page des détails du contrôle indique la date à laquelle l'état du contrôle a été mis à jour pour la dernière fois.

Note

La génération des premiers statuts de contrôle dans les régions chinoises peut prendre jusqu'à 24 heures après l'activation d'un contrôle ; et AWS GovCloud (US) Region.